Días atrás, B.L. se despertó a la madrugada a tomar agua, coincidiendo con el preciso momento en que la pantalla de su celular se iluminaba con la notificación de un nuevo email. Empujada por la curiosidad, abrió el correo para encontrarse con un mensaje de Visa alertando sobre la realización de un nuevo consumo con su tarjeta de crédito: 1700 dólares en Apple.com. La compra se había realizado minutos antes, mientras dormía.
En la misma semana, M.T. repasaba los movimientos de sus tarjetas de crédito en la web, algo que suele hacer periódicamente como medida de seguridad. Así descubrió que durante la madrugada alguien había gastado algo más de 600 pesos en una suscripción a un servicio de streaming con una de sus tarjetas.
Más allá del horario en el que se produjeron las compras, hay otras coincidencias. En ambos casos se trata de tarjetas de crédito que sus dueños no utilizan habitualmente ni sacan de la casa, lo que debería reducir las posibilidades de exponerlas a los fraudes más comunes.
Los ciberdelincuentes tienen diferentes métodos para hacerse con información de tarjetas de crédito para cometer sus estafas. Alguno de ellos son:
-Robo de billeteras
-Skimmers y lectores de banda magnética en cajeros automáticos y locales comerciales
-Estafas telefónicas
-Correos y mensajes de phishing
-Robo de información a través de redes WiFi públicas
-Software malicioso en sitios web
-Filtración de datos y violaciones de seguridad
-Comprando listas de números de tarjetas de crédito en la dark web
Sin embargo, es razonable pensar que si una tarjeta de crédito no sale de la casa y tampoco se la utiliza para comprar en la web, no debería estar expuesta al riesgo de caer en manos de los estafadores. Entonces, ¿cómo es que alguien realizó estos consumos? ¿Acaso alguien puede “adivinar” el número de nuestra tarjeta de crédito?
“Te diría que es un caso de fraude de manual, de los históricos”, cuenta Roberto Rubiano, ingeniero informático especialista en ciberseguridad. “El mecanismo o la secuencia lógica para generar los números PAN (Personal Account Number) que identifican a las tarjetas de crédito siguen una estructura regular y conocida. Esta información se encuentra en varios manuales y documentos”, explica Rubiano.
Los primeros seis números de una tarjeta identifican al banco y a la empresa que la emitió, los nueve números siguientes se establecen según un algoritmo estándar y el último número es el llamado “dígito de control”. Este número verifica la integridad de los números que están a la izquierda a partir de una fórmula llamada “Algoritmo de Luhn”, creada por el científico de IBM Hans Peter Luhn en 1954.
Actualmente, todas las tarjetas de crédito y débito se validan siguiendo la fórmula de Luhn.
En mayo de este año, Fernando Falsetti, un canillita de La Matanza, fue detenido tras ser acusado de realizar más de un centenar de estafas con tarjetas de crédito. Falsetti había descubierto de manera manual un algoritmo que le permitía generar números de tarjetas de crédito de una misma entidad bancaria y su correspondiente código de seguridad.
Sin ninguna herramienta tecnológica y utilizando únicamente papel, lápiz y matemáticas, Falsetti logró estafar a una empresa de televisión satelital en más de un millón de pesos, comprando servicios prepagos y luego revendiendolos a otras personas.
“La clave de todo esto es que al PAN (el número de la tarjeta) se le agrega un número de fecha de vencimiento y un CVV (el código de seguridad que está en la parte trasera) que son solo tres dígitos. Eso le da fortaleza, aunque es fácil de adivinar”, agrega Rubiano.
Usualmente, el CVV se adivina mediante prueba y error, o como se denomina en seguridad informática, “fuerza bruta”. El trabajo que Falsetti realizaba analógicamente es ejecutado por un bot, un programa que ejecuta tareas automatizadas repetitivas. Configurado para que pueda intentar pequeñas compras en una gran lista de sitios online a partir de un número de tarjeta determinado, el bot prueba combinaciones de fechas de vencimiento y CVV hasta dar con un set de datos válidos.
Seguramente esté pensando que una vez que obtenido un juego de números válidos, para realizar una estafa aún falta el nombre del titular de la tarjeta. “No, el nombre no lo valida casi nadie. Hacé la prueba y vas a ver que te lo imputan igual”, alerta Rubiano. “El problema es que algunos no validan el CVV tampoco, te permiten imputar gastos solo con el PAN”, precisa. Esto es fácilmente comprobable, hay servicios a los que se puede adherir una tarjeta sin más datos que un número válido. No solicitan nombre del titular, fecha de vencimiento ni código de seguridad.
Las empresas procesadoras de pagos como Visa o Mastercard "asumen que este tipo de fraude está implícito en la misma industria”, explica el especialista en ciberseguridad. “Incluso hay un porcentaje de tarjetas de crédito a las que les hacen gastos cuando aún las están imprimiendo en las máquinas, o sea cuando es imposible que alguien más sepa el número”, ilustra.
Afortunadamente para los consumidores, es importante tener en cuenta que si su número de tarjeta ha sido utilizado de forma fraudulenta, el titular se encuentra protegido y puede pedir al banco que anule el monto a pagar. La Ley nacional 25065 de Tarjetas de Crédito garantiza la devolución de los cobros desconocidos, aunque el banco realizará una investigación sobre la transacción en cuestión.
Lo primero que debe hacerse es reportar el incidente al banco emisor y dar de baja la tarjeta. Si bien por ley el titular puede cuestionar la liquidación dentro de los treinta días de recibido el resumen, es mejor hacerlo lo antes posible.
Independientemente de los recaudos que se tomen, este tipo de fraude por “adivinación” es imposible de evitar. Todas las tarjetas de crédito y la gran mayoría de las entidades bancarias cuentan con un servicio de alertas de consumos que envían un correo o mensaje cuando se registra un gasto con alguno de los plásticos. Es imprescindible tenerlo activado para advertir una estafa en marcha antes de que se convierta en un desastre financiero.